Wizualizacja zebranych danych na stronie Przegląd

Po połączeniu źródeł danych z usługą Microsoft Sentinel użyj strony Przegląd , aby wyświetlić, monitorować i analizować działania w całym środowisku. W tym artykule opisano widżety i wykresy dostępne na pulpicie nawigacyjnym Omówienie usługi Microsoft Sentinel.

Wymagania wstępne

• Upewnij się, że masz dostęp czytelnika do zasobów usługi Microsoft Sentinel. Aby uzyskać więcej informacji, zobacz Role i uprawnienia w usłudze Microsoft Sentinel.

Uzyskiwanie dostępu do strony Przegląd

Jeśli obszar roboczy jest włączony w portalu Microsoft Defender, wybierz pozycję >. W przeciwnym razie wybierz pozycję Przegląd bezpośrednio. Na przykład:

Dane dla każdej sekcji pulpitu nawigacyjnego są wstępnie obliczane, a czas ostatniego odświeżania jest wyświetlany w górnej części każdej sekcji. Wybierz pozycję Odśwież w górnej części strony, aby odświeżyć całą stronę.

Wyświetlanie danych zdarzeń

Aby zmniejszyć szum i zminimalizować liczbę alertów, które należy przejrzeć i zbadać, usługa Microsoft Sentinel używa techniki łączenia w celu skorelowania alertów z incydentami. Zdarzenia to grupy z możliwością działania powiązanych alertów w celu zbadania i rozwiązania problemu.

Na poniższej ilustracji przedstawiono przykład sekcji Incydenty na pulpicie nawigacyjnym Przegląd :

W sekcji Incydenty wymieniono następujące dane:

• Liczba nowych, aktywnych i zamkniętych zdarzeń w ciągu ostatnich 24 godzin.
• Całkowita liczba zdarzeń każdej ważności.
• Liczba zamkniętych zdarzeń każdego typu klasyfikacji zamknięcia.
• Stany incydentów według czasu utworzenia w czterech godzinach.
• Średni czas potwierdzenia zdarzenia i średni czas zamknięcia zdarzenia z linkiem do skoroszytu wydajności SOC.

Wybierz pozycję Zarządzaj zdarzeniami , aby przejść do strony Incydenty usługi Microsoft Sentinel, aby uzyskać więcej informacji.

Wyświetlanie danych automatyzacji

Po wdrożeniu automatyzacji za pomocą usługi Microsoft Sentinel monitoruj automatyzację obszaru roboczego w sekcji Automatyzacja pulpitu nawigacyjnego Przegląd .

• Zacznij od podsumowania działania reguł automatyzacji: zdarzenia zamknięte przez automatyzację, czas zapisania automatyzacji i powiązanej kondycji podręczników.

  Usługa Microsoft Sentinel oblicza czas zapisany przez automatyzację, wyszukując średni czas zaoszczędzony przez pojedynczą automatyzację pomnożoną przez liczbę zdarzeń rozwiązanych przez automatyzację. Formuła wygląda następująco:

  (avgWithout - avgWith) * resolvedByAutomation

  Gdzie:

  • avgWithout to średni czas rozwiązania zdarzenia bez automatyzacji.
  • avgWith to średni czas potrzebny na rozwiązanie zdarzenia przez automatyzację.
  • resolvedByAutomation to liczba zdarzeń rozwiązanych przez automatyzację.

• Poniżej podsumowania wykres podsumowuje liczbę akcji wykonywanych przez automatyzację według typu akcji.

• W dolnej części sekcji znajdź liczbę aktywnych reguł automatyzacji z linkiem do strony Automatyzacja.

Wybierz link Skonfiguruj reguły automatyzacji, aby przejść do strony Automatyzacja, na której można skonfigurować więcej opcji automatyzacji.

Wyświetlanie stanu rekordów danych, modułów zbierających dane i analizy zagrożeń

W sekcji Dane pulpitu nawigacyjnego Przegląd śledź informacje dotyczące rekordów danych, modułów zbierających dane i analizy zagrożeń.

Wyświetl następujące szczegóły:

• Liczba rekordów zebranych przez usługę Microsoft Sentinel w ciągu ostatnich 24 godzin w porównaniu z poprzednimi 24 godzinami i wykrytych anomalii w tym okresie.

• Podsumowanie stanu łącznika danych podzielone przez łączniki w złej kondycji i aktywne łączniki. Łączniki w złej kondycji wskazują, ile łączników zawiera błędy. Aktywne łączniki to łączniki, które przesyłają dane strumieniowo do usługi Microsoft Sentinel, co jest mierzone za pomocą zapytania zawartego w łączniku.

• Rekordy analizy zagrożeń w usłudze Microsoft Sentinel według wskaźnika naruszenia zabezpieczeń.

Wybierz pozycję Zarządzaj łącznikami , aby przejść do strony Łączniki danych , na której można wyświetlać łączniki danych i zarządzać nimi.

Wyświetlanie danych analitycznych

Śledź dane dla reguł analitycznych w sekcji Analiza pulpitu nawigacyjnego Przegląd.

Liczba reguł analizy w usłudze Microsoft Sentinel jest wyświetlana według stanu, w tym z włączonymi, wyłączonymi i autodisabled.

Wybierz łącze widok MITRE, aby przejść do MITRE ATT&CK, gdzie można sprawdzić, w jaki sposób środowisko jest chronione przed taktykami i technikami MITRE ATT&CK. Wybierz link Zarządzaj regułami analizy , aby przejść do strony Analiza , na której można wyświetlać reguły i zarządzać nimi, aby skonfigurować sposób wyzwalania alertów.

Następne kroki

• Użyj szablonów skoroszytów, aby dokładniej poznać zdarzenia generowane w całym środowisku. Aby uzyskać więcej informacji, zobacz Wizualizowanie i monitorowanie danych przy użyciu skoroszytów w usłudze Microsoft Sentinel.

• Włącz dzienniki zapytań usługi Log Analytics, aby pobrać wszystkie zapytania uruchamiane z obszaru roboczego. Aby uzyskać więcej informacji, zobacz Audit Microsoft Sentinel queries and activities (Inspekcja zapytań i działań usługi Microsoft Sentinel).

• Dowiedz się więcej o zapytaniach używanych za widżetami pulpitu nawigacyjnego Przegląd . Aby uzyskać więcej informacji, zobacz Szczegółowe omówienie nowego pulpitu nawigacyjnego przeglądu usługi Microsoft Sentinel.